告警方法、装置、设备及存储介质与流程

1.本技术涉及网络运维技术领域，具体涉及一种告警方法、装置、设备及存储介质。


背景技术：

2.在通讯网络中，如果一个通信节点出现告警，往往能衍生出上下游的关联告警，而设备会将所有告警均上报至网元管理系统(element management system，ems)。衍生告警会影响用户定位故障点，同时占用大量网络带宽。目前在网元管理系统中，针对有关联关系的海量告警的处理常采用以下两种方式：1)依据告警规则表、白名单等先验知识对告警进行过滤，得到需要进行上传的根告警；2)抽取历史告警作为样本数据集确定可信的告警关联规则，并通过告警关联规则确定需要进行上传的根告警。然而告警规则表和白名单等先验知识需要精通相关业务和技术的专家根据普遍知识和经验归纳得到，在面对多体系结构复杂、设备类型多样，告警类型和关系复杂的情况时，很难形成覆盖范围完整、准确性高以及动态适应性好的先验规则；而通过作为样本数据集的历史告警形成告警关联规则时，需要对样本数据集进行多次扫描，造成很大的输入/输出(input/output)负载,同时可能产生庞大的候选集，且候选集的数量是呈指数级增长的，严重影响了告警关联规则的生成效率。


技术实现要素：

3.本技术提供一种告警方法、装置、设备及存储介质，以通过告警关联规则对海量告警中的根告警进行确定，减少运维工作量，同时通过低负载方式生成告警关联规则，提升生成效率。
4.本技术实施例提供了一种告警方法，包括：
5.根据当前告警的告警类型和与所述告警类型对应的关联规则，确定所述当前告警中的根告警；
6.其中，所述关联规则根据频繁模式树确定，所述频繁模式树通过扫描历史告警得到。
7.本技术实施例提供了一种告警装置，包括：
8.根告警确定模块，设置为根据当前告警的告警类型和与所述告警类型对应的关联规则，确定所述当前告警中的根告警；
9.其中，所述关联规则根据频繁模式树确定，所述频繁模式树通过扫描历史告警得到。
10.本技术实施例提供了一种告警设备，包括：
11.一个或多个处理器；
12.存储装置，设置为存储一个或多个程序；
13.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述告警方法。
14.本技术实施例还提供了一种计算机可执行指令的存储介质，所述计算机可执行指
令在由计算机处理器执行时用于执行上述告警方法。
15.关于本技术的以上实施例和其他方面以及其实现方式，在附图说明、具体实施方式和权利要求中提供更多说明。
16.本技术实施例通过根据当前告警的告警类型和与所述告警类型对应的关联规则，确定所述当前告警中的根告警；其中，所述关联规则根据频繁模式树确定，所述频繁模式树通过扫描历史告警得到。通过扫描历史告警构建频繁模式树，根据频繁模式树结构确定对应告警类型的关联规则，并根据与当前告警的告警类型相对应的关联规则，对当前告警中的根告警进行确定，使得当前告警中影响故障点定位的衍生告警可被过滤，仅对确定出的根告警进行上传。同时解决了告警关联规则的构建依赖于先验知识，需要多次扫描历史告警的问题，提升了生成的用于确定当期告警中根告警关联规则的关联规则的准确性，可信度和动态适应性，降低了关联规则生成所需的数据量，降低了告警运维工作的复杂度。
附图说明
17.图1为一实施例提供的一种告警方法的流程图；
18.图2为一实施例提供的另一种告警方法的流程图；
19.图3为一实施例提供的根据历史告警的时间顺序，以及根据历史告警提取出的特征项生成数据集的流程示例图；
20.图4为一实施例提供的一种第一频繁项集的确定方法的流程示例图；
21.图5为一实施例提供的一种频繁模式树的构造方法的流程示例图；
22.图6为一实施例提供的一种频繁模式树的结构示例图；
23.图7为一实施例提供的一种项头表中特征项对应的最大频繁项集的确定方法的流程示例图；
24.图8为一实施例提供的一种目标关联规则的确定方法的流程示例图；
25.图9为一实施例提供的一种告警装置的结构示意图；
26.图10为一实施例提供的一种告警设备的结构示意图。
具体实施方式
27.下面结合附图和实施例对本技术进行说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本技术，而非对本技术的限定。需要说明的是，在不冲突的情况下，本技术中的实施例中的特征可以相互任意组合。另外还需要说明的是，为了便于描述，附图中仅示出了与本技术相关的部分而非全部结构。
28.现有通信网络的运维工作中，针对设备需要上报至网元管理系统ems的告警，常通过根据先验知识生成的告警规则表和白名单等筛选规则，或通过采用关联规则算法apriori由历史告警中挖掘关联规则对上述告警进行筛选，以除去上述告警中的衍生告警，进而确定出由故障的通信节点发出的根告警，以减少运维工作量。但由于告警规则表和白名单依赖于先验知识生成，在面对多体系结构复杂、设备类型多样、告警类型和关系错综复杂的情况时，宜居先验知识生成的筛选规则难以应对，且依赖于先验知识生成的规则覆盖范围狭窄，准确性低，难以根据应用环境的不同进行动态适应变化；而通过apriori算法确定关联规则时又需对根据历史告警生成的数据集进行多次扫描，并会产生庞大的候选集，
候选集的数目随数据集的规模增大而成指数倍增长，会产生很大的负载并造成较大的资源浪费，使得运维工作所需处理数据量增大，难以降低告警运维工作的复杂度。本实施例的告警方法，通过根据频繁模式树确定的，与当前告警的告警类型对应的关联规则，对当前告警中的根告警进行确定，提升了确定根告警的准确度的同时，降低了告警运维工作的资源需求和复杂度。
29.图1为一实施例提供的一种告警方法的流程图，如图1所示，本实施例提供的告警方法包括步骤110。
30.在步骤110中，根据当前告警的告警类型和与告警类型对应的关联规则，确定当前告警中的根告警。
31.其中，关联规则根据频繁模式树确定，频繁模式树通过扫描历史告警得到。
32.在一实施例中，当前告警可理解为由设备上传至网元管理系统ems的多条告警信息，当前告警中包括通讯网络中发生故障节点出现的告警，以及根据上述告警衍生出的上下游的关联告警，其中，发生故障节点出现的告警可理解为当前告警中的根告警，而由根告警衍生出的上下游的关联告警可理解为当前告警中的衍生告警。告警类型可理解为告警中出现故障的种类，示例性的，告警类型可为信号丢失、输出光功率越限、激光器偏置电流过小、模块内部温度超限、输入光功率越限和隧道维护点连通性丢失等。关联规则可理解为一种形如x
→
y的蕴含式，其中，x可称为关联规则的先导(antecedent或left-hand-side，lhs)，y可称为关联规则的后继(consequent或right-hand-side，rhs)，关联关系用以表征x与y间的因果关系，也即对于支持度和信任度较高的关联关系，在x出现时有较大的可能性出现y。频繁模式树(frequent pattern tree，fp-tree)可理解为一种根据关联分析算法(fp-growth)将提供频繁项集的数据库进行压缩，并保留项集间关联信息的数据结构，该频繁模式树由一个根节点(值为null)、一个频繁项头表和多个子孙节点构成。历史告警(history alarm)可理解为发生在当前告警前的告警，历史告警可被保存于历史告警数据库以供统计查询。
33.本实施例中，获取当前时刻由设备发送的包含多条告警信息的当前告警，根据当前告警中各告警信息所对应的告警类型，由关联规则库中获取与告警类型相对应的关联规则，进而通过关联规则确定当前告警中故障场景对应的告警类型，并将具有该告警类型的告警信息确定为当前告警中的根告警。其中，可通过对历史告警进行扫描提取属性特征并构建数据集，根据数据集中的频繁项集构建频繁模式树，并通过频繁模式树各项集间的关联信息确定各告警类型所对应的关联规则。
34.在本技术实施例中，由于采用对频繁模式树中各项集间的关联信息进行挖掘进而得到关联规则，在构建频繁模式树时仅需对历史告警进行两次扫描，因此降低了关联规则生成所需的数据负载。同时由于通过与当前告警中各告警信息的告警类型相对应的关联规则，对当前告警中的根告警进行确定，仅将确定出的根告警由网元管理系统ems经北向接口(northbound interface，nbi)发送至网络管理系统(network management system，nms)，减少了北向接口的数据流量，使得网络管理系统nms可对生成告警的故障节点进行更准确的故障诊断，提升了告警运维工作的简便性和准确性。
35.本实施例提供的告警方法，通过根据当前告警的告警类型和与所述告警类型对应的关联规则，确定所述当前告警中的根告警；其中，所述关联规则根据频繁模式树确定，所
述频繁模式树通过扫描历史告警得到。通过扫描历史告警构建频繁模式树，根据频繁模式树结构确定对应告警类型的关联规则，并根据与当前告警的告警类型相对应的关联规则，对当前告警中的根告警进行确定，使得当前告警中影响故障点定位的衍生告警可被过滤，仅对确定出的根告警进行上传。同时解决了告警关联规则的构建依赖于先验知识，需要多次扫描历史告警的问题，提升了生成的用于确定当期告警中根告警关联规则的关联规则的准确性，可信度和动态适应性，降低了关联规则生成所需的数据量，降低了告警运维工作的复杂度。
36.图2为一实施例提供的另一种告警方法的流程图，如图2所示，该方法包括步骤210至步骤260。
37.在步骤210中，获取预设时间内的历史告警，根据历史告警的时间顺序，以及根据历史告警提取出的特征项生成数据集。
38.其中，特征项中包含历史告警提取出的属性特征。
39.在一实施例中，特征项可理解为根据历史告警提取出的属性特征确定出的告警信息，属性特征中包含系统id和告警类型，特征项与告警类型与系统id存在对应关系。
40.本实施例中，在生成关联规则时，由历史告警数据库中获取预设时间内对应的历史告警，将获取到的历史告警按照时间顺序进行排列，由于相邻近的历史告警间存在关联关系的可能性较大，故可根据时间顺序对历史告警进行分组，使得同一分组内尽可能只包含一个根告警以及与该根告警相对应的衍生告警，同时对分组后各组内的历史告警进行属性特征提取，确定出各组内具有不同系统id和告警类型的历史告警，并将上述具有不同系统id和告警类型的历史告警确定为对应于该分组的特征项，进而根据分组以及各分组对应的特征项生成用于进行关联规则确定的数据集。
41.在一实施例中，可通过调整预设时间的大小调整用于生成频繁模式树的历史告警的多少，进而可通过调整预设时间的大小调整频繁模式树的复杂度，本技术中预设时间的大小可根据实际情况进行确定，本技术实施例对此不进行限制。
42.进一步地，图3为一实施例提供的一种根据历史告警的时间顺序，以及根据历史告警提取出的特征项生成数据集的流程示例图，如图3所示，具体包括如下步骤：
43.步骤2101、将历史告警按照时间顺序以预设时间间隔分为至少两个告警集。
44.在一实施例中，告警集可理解为预设时间间隔内的历史告警的集合，同一告警集中各告警间有较大可能性具有关联关系，也即同一告警集中。
45.本实施例中，将获取到的历史告警按照时间顺序由先至后进行排列，由时间顺序最先的历史告警开始依次向后，以预设时间间隔对历史告警进行分组，并将属于同一预设时间间隔内的历史告警的集合确定为一个告警集。示例性的，假设时间顺序最先的历史告警所对应的时间为16:31:00，预设时间间隔为一分钟，则将告警时间处于16:31:00-16:31:59内的历史告警确定为一个告警集，进而将16:32:00-16:32:59内的历史告警确定为另一告警集。
46.进一步地，在确定预设时间间隔时，可综合考虑网元管理系统ems中网络的拥堵情况，以及网元管理系统ems的告警接收和处理机制，确定出从设备上的关联告警触发到网元管理系统ems接收处理的间隔时间，并将上述间隔时间确定为预设时间间隔，若认为两告警间存在关联关系，则上述两告警应在预设时间间隔内分别由设备发送至网元管理系统ems
中。预设时间间隔具体设置值，本技术实施例对此不进行限制。
47.步骤2102、对各告警集进行属性特征提取，并根据提取到的属性特征中的告警类型确定各告警集对应的特征项。
48.本实施例中，对每个告警集中的历史告警进行属性特征提取，确定出告警集中各历史告警所对应的告警类型，进而确定出每个告警集中共出现几种告警类型，并根据上述出现的告警类型确定告警集中对应的特征项。
49.进一步地，告警类型中还可包括系统类型信息，为进行更简洁、直观的表达，可通过告警键值对其进行映射，并通过告警键值表征告警集中对应的特征项。下表1为一实施例提供的一种告警键值映射表，如下表1所示：
50.表1
51.系统类型告警类型告警键值(item)otn信号丢失i1otn输出光功率越限i2otn激光器偏置电流过小i3otn模块内部温度超限i4otn输入光功率超限i5ptn隧道维护点连通性丢失i6
52.也即，若一个告警集中出现输入光功率超限和输出光功率超限两种告警类型，则该告警集所对应的特征项和表征为i2和i5。
53.步骤2103、根据各告警集以及各告警集对应的特征项生成数据集。
54.示例性的，若获取的历史告警处于16:31:00-18:15:59之间，预设时间间隔为一分钟，已根据预设时间间隔确定告警集，并确定出各告警集所对应的特征项。下表2为一实施例提供的一种数据集的示例，如下表2所示：
55.表2
56.tidtimeitems116:31:00-16:31:59i1,i2,i5216:32:00-16:32:59i2,i4316:33:00-16:33:59i2,i3416:34:00-16:34:59i1,i2,i4516:35:00-16:35:59i1,i3616:36:00-16:36:59i2,i3716:37:00-16:37:59i1,i3816:38:00-16:38:59i1,i2,i3,i5916:39:00-16:39:59i1,i2,i31018:14:00-18:14:59i6
57.步骤220、扫描数据集，并对数据集中特征项的出现次数进行计数，确定第一频繁项集。
58.在一实施例中，项集可理解为若干个项的集合；频繁项集可理解为支持度大于或等于最小支持度的项的集合。支持度可理解为支持度程度，在数据挖掘的关联分析中可表
示前项与后项在一个数据集中同时出现的频率。
59.本实施例中，对数据集进行扫描，分别对数据集中出现的各特征项的出现次数进行计数，由于同一特征项在同一告警集中仅能出现一次，故根据各特征项的出现次数与告警集个数确定各特征项在数据集中的支持度，并将支持度满足最小支持度判断条件的特征项的集合确定为第一频繁项集。
60.进一步地，图4为一实施例提供的一种第一频繁项集的确定方法的流程示例图，如图4所示，具体包括如下步骤：
61.步骤2201、扫描数据集，并对各告警类型对应的特征项的出现次数进行计数。
62.示例性的，对如表2所示的数据集进行扫描，对其中各告警类型对应的特征项的出现次数进行计数，则以特征项i2为例，其在数据集中出现的次数为7次，则可记特征项i2出现次数为7。
63.步骤2202、根据各出现次数和告警集的个数确定各告警类型对应的特征项的支持度。
64.本实施例中，由于同一告警类型对应的特征项在同一告警集中仅出现一次，因此各告警类型对应的特征项在数据集中出现的最大次数为告警集的个数，因此将各告警类型对应的特征项的出现次数与告警集个数的比值确定为各告警类型对应的特征项的支持度。
65.在一实施例中，假设项集x∪y在数据集中出现的频次为σ(x∪y)，也即x与y在数据集中同时出现的次数为σ(x∪y)，t为数据集中分组的个数，则项集x∪y在数据集中的支持度可表示为：
66.support(x
→
y)＝σ(x∪y)/t
67.示例性的，以如表2所示的数据集为例，其中特征项i2的出现次数为7，告警集个数为10，则特征项i2的支持度可表示为support(i2)＝7/10＝70％。
68.步骤2203、将各支持度大于或等于预设支持度阈值的告警类型对应的特征项的集合确定为第一频繁项集。
69.本实施例中，在告警类型对应的特征项的支持度大于或等于预设支持度阈值的情况下，可认为该特征项在所有告警集中出现该告警类型的概率较高，属于频繁出现的项，存在关联关系的可能性较大。确定出各告警类型对应的特征项中，所有支持度大于或等于预设支持度阈值的特征项，并将上述特征项的集合确定为第一频繁项集，该第一频繁项集中的各特征项间可认为存在关联关系，可利用其构建频繁模式树对其中的关联关系进行挖掘。可选的，预设支持度阈值可设为20％，本技术实施例对此不进行限制。
70.示例性的，对如表2所示的数据集进行第一频繁项集的确定，下表3为一实施例提供的一种满足最小支持度阈值的第一频繁项集的示例，如下表3所示：
71.表3
72.i1i2i3i4i567622
73.步骤230、再次扫描数据集，根据第一频繁项集生成的项头表构造频繁模式树。
74.在一实施例中，项头表可理解为包含频繁模式树中所有特征项，根据支持度对其中各特征项进行排序的，根据支持度排序构建频繁模式树的特征项集合。
75.本实施例中，根据第一频繁项集中的各特征项所对应的支持度，将各特征项按照
支持度降序进行排序生成项头表，再次对数据集进行扫描，将告警集按照其中包含特征项在项头表中的排序再次进行重排，并将重排后的各告警集依次插入至以null为根节点的频繁模式树中，完成对频繁模式树的构建。其中，在各告警集插入频繁模式树的过程中，将告警集中支持度高的特征项优先进行插入，也即将支持度高的特征项作为祖先节点，其他特征项依据支持度的排序依次插入作为子孙节点。
76.进一步地，图5为一实施例提供的一种频繁模式树的构造方法的流程示例图，如图5所示，具体包括如下步骤：
77.步骤2301、将第一频繁项集中的特征项依支持度降序排列生成项头表，并将各告警集中未包含于第一频繁项集中的特征项删除，得到调整后的告警集。
78.本实施例中，通过支持度对第一频繁项集中各特征项进行排序，由支持度从高到低的顺序将特征项依次放入列表中生成项头表，由于未包含于第一频繁项集中的特征项不会被应用于频繁模式树的生成，故再次对生成的数据集进行扫描，将数据集中各告警集中未包含于第一频繁项集中的特征项进行删除，同时依据项头表中特征项的排列顺序，将告警集进行调整重排，使得包含高支持度特征项的告警集调整至排列顺序靠前的位置。
79.示例性的，表4为一实施例提供的一种项头表的示例，如下表4所示：
80.表4
81.itemheadi27i16i36i42i52
82.进一步地，下表5为一实施例提供的一种调整后的告警集的示例，如下表5所示：
83.表5
84.tidtimeitems116:31:00-16:31:59i1,i2,i5216:32:00-16:32:59i2,i4316:33:00-16:33:59i2,i3416:34:00-16:34:59i1,i2,i4616:36:00-16:36:59i2,i3816:38:00-16:38:59i1,i2,i3,i5916:39:00-16:39:59i1,i2,i3516:35:00-16:35:59i1,i3716:37:00-16:37:59i1,i3
85.由于特征项i2的支持度最高，故将包含特征项i2的告警集的顺序调整至靠前的位置。
86.步骤2302、根据调整后的告警集中的特征项，以及项头表构造频繁模式树。
87.其中，同一告警集中的特征项位于频繁模式树中的同一分支，且同一告警集中的特征项依支持度降序插入频繁模式树中。
88.本实施例中，初始构建的频繁模式树中没有数据，首先在频繁模式树中建立一个空的根节点null，以null作为祖先节点，然后依排序顺序依次读入调整后的告警集，将其插入频繁模式树中，使得同一告警集中的特征项插入至频繁模式树中的同一分支，同时在对一个告警集中的特征项进行插入时，依据支持度的降序排序将特征项依次插入，将排序靠前的特征项对应的节点作为祖先节点下的第二级节点，靠后的特征项对应的节点作为子孙节点。若存在共用的上级节点，则在对应的公用上级节点的计数加一，同时在插入后，若有新的节点出现，则根据项头表将对应的节点通过节点链表链接上新的节点，直到所有告警集中的特征项均插入至频繁模式树中后，认为频繁模式树的构造完成。其中，祖先节点下可能存在多个并列的第二级节点，示例性的，若项头表中示出a(5)，b(4)，c(2)，其中ab出现0次，ac出现一次，bc出现一次，则以根节点null作为祖先节点，a和b均为第二级节点，c为三级节点。示例性的，以表2所示的数据集为例，图6为一实施例提供的一种频繁模式树的结构示例图。
89.步骤240、根据频繁模式树确定项头表中特征项对应的条件模式基，并根据条件模式基确定特征项对应的最大频繁项集。
90.在一实施例中，条件模式基可理解为频繁模式树中以查找项为结尾的路径集合，也即介于查找项与频繁模式树根节点之间的所有内容。最大频繁项集可理解为多个频繁项集中符合无超集条件的频繁项集，也即包含最多符合条件特征项的频繁项集。超集可理解为如果一个集合s2中的每一个元素都在集合s1中，且结合s1中可能包含s2中没有的元素，则s1就是s2的一个超集。
91.本实施例中，由项头表的底部项依次向上挖掘，也即从位于项头表底部的特征项开始，依次将项头表中的各特征项作为查找项确定条件模式基。根据确定出的条件模式基中各节点所对应的支持度，重新构建与查找项对应的数据集，并依据该数据集确定以该查找项为结尾的多个频繁项集，选择各频繁项集中包含最多特征项的频繁项集作为查找项对应的最大频繁项集，进而同理可得项头表中各特征项所对应的最大频繁项集。
92.进一步地，图7为一实施例提供的一种项头表中特征项对应的最大频繁项集的确定方法的流程示例图，如图7所示，具体包括如下步骤：
93.步骤2401、确定频繁模式树中以项头表中特征项为结尾的节点链。
94.示例性的，以图6所示频繁模式树中项头表中的最底部项i5为例，在频繁模式树中以i5为结尾的节点链共有两条，分别为《(i2:7),(i1:4),(i3:2),(i5:1)》和《(i2:7),(i1:4),(i5:1)》。
95.步骤2402、确定节点链中各节点的支持度，并对各节点对应的特征项的支持度进行更新，将节点链对应的特征项的组合确定为与项头表中特征项对应的条件模式基。
96.接上述示例，对以最底部项i5为结尾的节点链中的节点支持度进行扫描更新，可确定对应i5节点的条件模式基为《(i2:1),(i1:1),(i3:1),(i5:1)》和《(i2:1),(i1:1),(i5:1)》。
97.步骤2403、根据条件模式基生成第二数据集，并根据第二数据集中各特征项的支持度确定项头表中特征项对应的最大频繁项集。
98.接上述示例，将i5对应的各条件模式基分别作为新的告警集生成第二数据集，也即第二数据集中每一行存储一个i5条件模式基所对应的特征项，进而生成与第二数据集相
对应的项头表，构建特征项i5对应的频繁模式子树，由于特征项i3在第二数据集中仅出现一次，其支持度小于预设支持度阈值，因此，可得到以i5为结尾的频繁项集有(i5:2),(i1,i5:2),(i2,i5:2),(i1,i2,i5:2)，由于项集(i1,i2,i5:2)为所有频繁项集中符合无超集条件的频繁项集，故将项集(i1,i2,i5:2)确定为特征项i5对应的最大频繁项集。
99.进一步地，若特征项i5对应的频繁模式子树为单枝的，则无需对子树进行递归，可直接将i5条件模式基中所对应的特征项的集合确定为特征项i5对应的最大频繁项集。
100.步骤250、根据最大频繁项集、数据集和预设置信度阈值，确定与特征项对应的目标关联规则，并将目标关联规则存入至关联规则库中。
101.在一实施例中，置信度可理解为关联关系的可信程度，即发生事件x的基础上发生事件y的概率，表示关联性的强弱或规则的可靠性，也即同时包含x和y的事务占包含x的事务的比例。假设项集x∪y在数据集中出现的频次为σ(x∪y)，项集x在数据集中出现的频次为σ(x)，则项集x∪y在项集x基础上发生的置信度可表示为：
102.conf(x
→
y)＝σ(x∪y)/σ(x)
103.本实施例中，对最大频繁项集进行递归拆分，生成多个关联规则，确定各关联规则在数据集中的置信度，并将上述各置信度与预设置信度阈值进行比较，认为置信度大于预设置信度阈值的关联规则为可信的，也即强关联规则，将确定出的关联规则确定为与特征项对应的目标关联规则，并将目标关联规则存入至关联规则库中以供根告警的确定。
104.进一步地，图8为一实施例提供的一种目标关联规则的确定方法的流程示例图，如图8所示，具体包括如下步骤：
105.步骤2501、将最大频繁项集进行递归拆分，得到第一项集和第二项集，第二项集为第一项集相对于最大频繁项集的补集。
106.本实施例中，通过对最大频繁项集进行递归拆分，得到的第一项集与第二项集，是为了确定第一项集与第二项集中对应特征项间的因果关系，也即通过第一项集中存在特征项推出，在第一项集特征项存在时第二项集中特征项是否存在的关系，该关系可称为第一项集中特征项与第二项集中特征项间的关联关系。
107.示例性的，以特征项i5对应的最大频繁项集(i1,i2,i5:2)为例，其可拆分出的关联规则可包括：(i2,i1,i5
→
{})、(i2,i1
→
i5)、(i1
→
i2,i5)、(i2,i5
→
i1)、(i2
→
i1,i5)、(i1,i5
→
i2)和(i5
→
i2,i1)。以(i5
→
i2,i1)为例，其关联关系可表示为当i5出现时将会出现i2和i1，也即i5与i2和i1间存在因果关系，i2和i1为i5的衍生告警。
108.步骤2502、根据最大频繁项集、第一项集和数据集，确定最大频繁项集在数据集中属于同一告警集的第一次数，以及第一项集在数据集中属于同一告警集的第二次数。
109.在一实施例中，第一次数可理解为最大频繁项集中特征项所对应的告警在一个告警集中同时出现的次数，也即数据集中有几个告警集中同时具有最大频繁项集中的特征项；第二次数可理解为第一项集中特征项所对应的告警在一个告警集中同时出现的次数，也即数据集中有几个告警集中同时具有第一项集中的特征项。
110.示例性的，以如表2所示的数据集为例，关联规则(i5
→
i2,i1)所对应的第一次数为特征项组合i1、i2和i5在数据集中出现的次数，也即第一次数为2，第二次数为特征项i5在数据集中出现的次数，也即第二次数为2。
111.步骤2503、在第一次数与第二次数的比值大于或等于预设置信度阈值的情况下，
将第一项集中对应的特征项与第二项集中对应的特征项间的因果关系，确定为第一项集中对应的特征项的目标关联规则。
112.本实施例中，第一次数与第二次数的比值可理解为第一项集与第二项集构成的关联规则的置信度，在上述置信度大于或等于预设置信度阈值的情况下，可认为上述关联规则所对应的因果关系较强，属于强关联规则，可将其作为第一项集中对应的特征项的目标关联规则进行存储以及应用。
113.接上述示例，对于关联规则(i5
→
i2,i1)，其置信度＝第一次数/第二次数＝1，当预设置信度阈值为80％时，该关联规则属于强关联规则，故其可作为特征项i5所对应的目标关联规则。而对于关联规则(i2,i1
→
i5)，其对应的第一次数为特征项组合i1、i2和i5在数据集中出现的次数，也即第一次数为2，第二次数为特征项i2和i1在告警集中同时出现的次数，也即第二次数为4，则上述关联规则置信度为50％，小于预设置信度阈值，故上述关联规则无法作为特征项i2和i1对应的目标关联规则。
114.进一步地，在将目标关联规则存入至关联规则库中时，包括：
115.在目标关联规则未包含于关联规则库中的情况下，将目标关联规则存入关联规则库中。
116.在目标关联规则包含于关联规则库中，且为关联规则库中待更新关联规则的子集的情况下，不将目标关联规则存入关联规则库中。
117.在目标关联规则包含于关联规则库中，且为关联规则库中待更新关联规则的超集的情况下，将待更新关联规则替换为目标关联规则。
118.其中，待更新关联规则为关联规则库中与目标关联规则对应的关联规则。
119.示例性的，若目标关联规则为(i5
→
i2,i1)，关联规则库中与目标关联规则相对应的待更新关联规则为(i5
→
i2)，则认为目标关联规则为待更新关联规则的子集，此时不将目标关联规则存入至关联规则库中；而当待更新关联规则为(i5
→
i2,i1,i3)，则认为目标关联规则为待更新关联规则的超集，此时将该目标关联规则对待更新关联规则进行替换，存入关联规则库中。
120.步骤260、根据当前告警的告警类型和与告警类型对应的关联规则，确定当前告警中的根告警。
121.本实施例提供的告警方法，通过两次扫描历史告警生成的数据集，将数据集中按预设时间间隔划分的告警集依据支持度降序压缩存储至频繁模式树中，在后续对频繁模式和关联关系的挖掘过程中，无需再次对数据集进行扫描，降低了关联规则确定过程中的数据负载，同时由于告警集的划分可根据预设时间间隔进行动态调节，可对告警集中的告警密集程度和告警集的数量进行调节，控制生成频繁模式树的茂盛程度，优化了关联规则的挖掘效率，更好的适应大数据量系统下的性能问题。进一步地，在进行关联规则挖掘时，仅考虑与特征项所对应的最大频繁项集，不再对与特征项相对应的字数进行递归遍历，提升了关联规则确定的效率。将生成的关联规则用于对当前告警的根告警的确定，提升了根告警确定的可信度，降低了告警运维工作的复杂度。
122.本实施例还提供了一种告警装置。图9为一实施例提供的一种告警装置的结构示意图。如图9所示，所述告警装置包括：根告警确定模块310。
123.根告警确定模块310，设置为根据当前告警的告警类型和与所述告警类型对应的
关联规则，确定所述当前告警中的根告警；
124.其中，所述关联规则根据频繁模式树确定，所述频繁模式树通过扫描历史告警得到。
125.本实施例的告警装置，通过扫描历史告警构建频繁模式树，根据频繁模式树结构确定对应告警类型的关联规则，并根据与当前告警的告警类型相对应的关联规则，对当前告警中的根告警进行确定，使得当前告警中影响故障点定位的衍生告警可被过滤，仅对确定出的根告警进行上传，降低了关联规则生成所需的数据量，降低了告警运维工作的复杂度。
126.在一实施例中，还包括：
127.关联规则确定模块，设置为根据历史告警生成频繁模式树，并根据频繁模式树确定关联规则。
128.在一实施例中，关联规则确定模块包括：
129.数据集生成单元，设置为获取预设时间内的历史告警，根据所述历史告警的时间顺序，以及根据所述历史告警提取出的特征项生成数据集；其中，所述特征项中包含所述历史告警提取出的属性特征。
130.第一频繁项集确定单元，设置为扫描所述数据集，并对所述数据集中特征项的出现次数进行计数，确定第一频繁项集。
131.频繁模式树构造单元，设置为再次扫描所述数据集，根据所述第一频繁项集生成的项头表构造频繁模式树。
132.最大频繁项集确定单元，设置为根据所述频繁模式树确定所述项头表中特征项对应的条件模式基，并根据所述条件模式基确定所述特征项对应的最大频繁项集。
133.关联规则确定单元，设置为根据所述最大频繁项集、所述数据集和预设置信度阈值，确定与所述特征项对应的目标关联规则，并将所述目标关联规则存入至关联规则库中。
134.在一实施例中，数据集生成单元，具体设置为将所述历史告警按照时间顺序以预设时间间隔分为至少两个告警集；对各所述告警集进行属性特征提取，并根据提取到的所述属性特征中的告警类型确定各所述告警集对应的特征项；根据各所述告警集以及各所述告警集对应的特征项生成数据集。其中，所述告警类型至少包括两种。
135.在一实施例中，第一频繁项集确定单元，具体设置为扫描所述数据集，并对各所述告警类型对应的特征项的出现次数进行计数；根据各所述出现次数和所述告警集的个数确定各所述告警类型对应的特征项的支持度；将各所述支持度大于或等于预设支持度阈值的告警类型对应的特征项的集合确定为第一频繁项集。
136.在一实施例中，频繁模式树构造单元，具体设置为将所述第一频繁项集中的特征项依支持度降序排列生成项头表，并将各所述告警集中未包含于所述第一频繁项集中的特征项删除，得到调整后的告警集；根据所述调整后的告警集中的特征项，以及所述项头表构造频繁模式树；其中，同一告警集中的特征项位于所述频繁模式树中的同一分支，且所述同一告警集中的特征项依支持度降序插入所述频繁模式树中，支持度最高的特征项为祖先节点。
137.在一实施例中，最大频繁项集确定单元，具体设置为确定所述频繁模式树中以所述项头表中特征项为结尾的节点链；确定所述节点链中各节点的支持度，并对各所述节点
对应的特征项的支持度进行更新，将所述节点链对应的特征项的组合确定为与所述项头表中特征项对应的条件模式基；根据所述条件模式基生成第二数据集，并根据所述第二数据集中各特征项的支持度确定所述项头表中特征项对应的最大频繁项集。
138.在一实施例中，关联规则确定单元，具体设置为将所述最大频繁项集进行递归拆分，得到第一项集和第二项集，所述第二项集为所述第一项集相对于所述最大频繁项集的补集；根据所述最大频繁项集、所述第一项集和所述数据集，确定所述最大频繁项集在所述数据集中属于同一告警集的第一次数，以及所述第一项集在所述数据集中属于同一告警集的第二次数；在所述第一次数与所述第二次数的比值大于或等于所述预设置信度阈值的情况下，将所述第一项集中对应的特征项与所述第二项集中对应的特征项间的因果关系，确定为所述第一项集中对应的特征项的目标关联规则。在所述目标关联规则未包含于关联规则库中的情况下，将所述目标关联规则存入所述关联规则库中；在所述目标关联规则包含于所述关联规则库中，且为所述关联规则库中待更新关联规则的子集的情况下，不将所述目标关联规则存入所述关联规则库中；在所述目标关联规则包含于所述关联规则库中，且为所述关联规则库中待更新关联规则的超集的情况下，将所述待更新关联规则替换为所述目标关联规则；其中，所述待更新关联规则为所述关联规则库中与所述目标关联规则对应的关联规则。
139.本实施例提出的告警装置与上述实施例提出的告警方法属于同一发明构思，为在本实施例中详尽描述的技术细节可参见上述任意实施例，并且本实施例具备执行告警方法相同的有益效果。
140.图10为一实施例提供的一种告警设备的结构示意图，如图10所示，该告警设备包括处理器410、存储装置420、输入装置430和输出装置440；告警设备中处理器410的数量可以是一个或多个，图10中以一个处理器410为例；告警设备中的处理器410、存储装置420、输入装置430和输出装置440可以通过总线或其他方式连接，图10中以通过总线连接为例。
141.存储装置420作为一种计算机可读存储介质，可用于存储软件程序、计算机可执行程序以及模块，如本技术实施例中的告警方法对应的程序指令/模块。处理器410通过运行存储至存储装置420中的软件程序、指令以及模块，从而执行告警设备的各种功能应用以及数据处理，即实现上述的告警方法。
142.存储装置420可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储装置420可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些示例中，存储装置420可进一步包括相对于处理器410远程设置的存储器，这些远程存储器可以通过网络连接至设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
143.输入装置430可用于接收输入的数字或字符信息，以及产生与设备的用户设置以及功能控制有关的信号输入，可以包括触屏、键盘和鼠标等。输出装置440可包括显示屏等显示设备。
144.本技术实施例还提供一种包含计算机可执行指令的存储介质，计算机可执行指令在由计算机处理器执行时用于执行一种告警方法。
145.通过以上关于实施方式的描述，所属领域的技术人员可以了解到，本技术可借助
软件及通用硬件来实现，也可以通过硬件实现。基于这样的理解，本技术的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(read-only memory,rom)、随机存取存储器(random access memory,ram)、闪存(flash)、硬盘或光盘等，包括多个指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术任意实施例所述的方法。
146.以上所述，仅为本技术的示例性实施例而已，并非用于限定本技术的保护范围。
147.本技术附图中的任何逻辑流程的框图可以表示程序步骤，或者可以表示相互连接的逻辑电路、模块和功能，或者可以表示程序步骤与逻辑电路、模块和功能的组合。计算机程序可以存储在存储器上。存储器可以具有任何适合于本地技术环境的类型并且可以使用任何适合的数据存储技术实现，例如但不限于只读存储器(rom)、随机访问存储器(ram)、光存储器装置和系统(数码多功能光碟dvd或cd光盘)等。计算机可读介质可以包括非瞬时性存储介质。数据处理器可以是任何适合于本地技术环境的类型，例如但不限于通用计算机、专用计算机、微处理器、数字信号处理器(dsp)、专用集成电路(asic)、可编程逻辑器件(fgpa)以及基于多核处理器架构的处理器。
148.通过示范性和非限制性的示例，上文已提供了对本技术的示范实施例的详细描述。但结合附图和权利要求来考虑，对以上实施例的多种修改和调整对本领域技术人员来说是显而易见的，但不偏离本发明的范围。因此，本发明的恰当范围将根据权利要求确定。